problema con falso antispyware (SOLUCIONADO)

[meXicandiYei]

me llego una laptop, perdi el nombre del falso antispyware (no volvera a ocurrir)....nadamas cosa de arrancar y conectarse a internet comenzaba a lanzar advertencias de encontrar infecciones por todos lados..........de por si al ver la maquina , me di cuenta el sistema estaba muy dañado...pues varios accesos directos o aplicaciones ya no eran validos, y conforme revisaba los programas instalados, me los detectaba (terminaciones .exe) como virus.......entre ellos a elistara



no quise revisar mas, pues los documentos eran lo principal, me dijeron.....asi que comenze a respaldar y rescate todo lo necesario......



mi pendrive al insertarlo en mi maquina....empezo a disparar alertas de avast......diciendome que por ejemplo PROCX era un virus....o HARDWARE MONITOR tambien....asi que revise los archivos ocultos y ahi estaba la causa...habia creado algunas carpetas con ejecutables e instrucciones hacia los programas , que en si no estaban infectados pero funcionaban como ..si fueran accesos directos hacia la infeccion........(disculpen hubiera tomado una captura de todas las carpetas pero hasta ahora se me ocurrio)...



sin mas subo las muestras para que las anexen a sus magnificas utilerias, porque ni avast , malwarebytes o elistara las detecto...



gracias mil , por su labor :)





PD: no infecte mi pc, pues esta protegida con elipen 1.9 (tambien mis pendrives) eso me salvo....no niego que borre a procx y algunos programillas en mi memoria usb........por eso escribo esto.......antes de borrar algo necesario del sistema...chekeen ......



PD2: por cierto estos programas que eran detectados como infeccion tambien lanzaban este error --The application failed to initialize properly (0xc000007b)--

[msc hotline sat]

Muy bien porprotegerse con el ELIPEN, pero ya que dice tener o haber tenido Fake Alerts, pruebe el ELISTARA tanto en el ordenador como en pendrives y posteenos el contenido de c:\infosat.txt resultante, gracias




[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y si dice que nos ha enviado muestras, suponemos habrá seguido lo indicado al respecto:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 18-7-2009

[meXicandiYei]

el troyano es detectado por avast y la ubicacion es en..... system32/drivers/protect.sys....por eso supongo que al intentar abrir el administrador de dispositivos se congela la maquina..........al abrirlo con el bloc de notas se alacanzan a ver algunas d elas instrucciones....(no habra forma de cambiar ese texto...para que digamos, sea facil de eliminar o deje los exe y demas en paz?)

[msc hotline sat]

Pues en tal caso son varios los malwares conocidos que pudieran ser:



http://www.threatexpert.com/files/protect.sys.html



y alguno de ellos es rootkit, asi que es complejo d eeliminar dado que se oculta cuando está en uso.



Arranca en modo seguro y si no lo ves en la ruta indicada:



C:\windows\system32\drivers\protect.sys



con el ELIMOVER, le pones dicha ruta y nombre y asi lo copiará en C:\muestras, desde donde te será más facil enviarnoslo para analizar y controlar:





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp







Y marcar de paso la casilla inferior izquierda de la ventana de dicha utilidad, para que al fichero original le sea añadida la extension .VIR y asi no pueda lanzarse a partir del siguiente reinicio.



saludos



ms, 19-7-2009

[msc hotline sat]

Por Dios ! Tiene VIRUT hasta en el gorro !



Lo que tiene es una infeccion en todos los EXE del equipo, muestra de ello son los 4 ficheros que nos ha enviado, todos ellos infectados por el VIRUT



Es un mal bicho, se propaga a todos los ejecutables, infectandolos y ni arrancando en modo seguro se librará de él.



O bien coloca el disco duro como esclavo en otro ordenador, y arrancando con el master le pasa el antivirus del mismo sobre el esclavo y limpia los archivos que pueda (algunos los dejará tontos, pues no guarda la cabecerá ciorrecta en todos los ficheros), y los que no le funcionen los sustituye por originales o copia de seguridad, o bien reinstala la aplicacion.



Y si lo prefiere y dispone de un LIVE CD con antivirus para LINUX, (como el que entregamos a los asociados de SATINFO) arranque con dicho CD y lance el antivirus y hará lo mismo sin sacar el disco duro, pero eso sí, ha de arrancar con un CD que contenga un antivirus que controle dicho virus VIRUT.



Es curioso que de los 4 ficheros enviados, son realmente RUNDLL.EXE de diferentes versiones, aunque le llamen KEYGEN, SVCHOST o lo que sea, sin que ello lo haga el VIRUT, que sepamos, son ficheros de sistemaRUNDLL pero infectados con el VIRUT y renombrados a los nombres indicados.



Y si su antivirus no lo controla, pruebe el Cureit:



ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe



saludos



ms, 20-7-2009

[meXicandiYei]

asi es......virut (o vitro para avast).......infecte mi maquina hasta el tope, y es una pena lo se, solamente por no haber seguido el primer aviso de avast y haber mandado el virut a el baul, y haber programado un escaneo al inicio............



lo que hice fue correr desde un live cd , un antivirus, y ademas de mi pc que la tengo particionada en tres unidades, tambien pase mis pendrives y todo lo que haya tenido contacto con esa infeccion, fue demasiado radical, porque elimino muchisimas utilerias portatiles que tenia y el windows quedo totalmente inutilizable...



asi que sin mas recupere lo mas que se pudo, y a formatear (despues de meses y meses sin hacerlo)........

les comento que hasta un backup de mis drivers se infecto asi que cuidado..........era un autoinstalable y fue raro ver que la maquina seguia infectda despues del formato...pero despues de un buen rato di con la causa...............



lo bueno y lo malo es que , ahora tomo mas precauciones al dar servicio en cada maquina que me llega





muchas gracias amigos y ya saben al baul con cualquier virut o vitro detectado por el antivirus , no lo piensen dos veces...



sin mas doy por teminado el tema



pd: por cierto me llego hace un rato otra maquina infectada de lo mismo, se disparo la infeccion al momento de escanear.......asi que rapidamente apague y desde el live cd quedo lista....solamente se comio el rundll32.exe pero lo repuse de otra maquina y como nueva

[msc hotline sat]

Sí, y lo malo que tienes estos infectores como el VIRUT es que tambien infectan otros troyanos que se propagan por pendrive, con lo que al insertarlo en un ortdenador bueno, lo infectan con el troyano "tipo pendrive" y con el VIRUT, el cual infecta todos los ejecutables y demas



Un mal bicho !



Me parece que le servirá de experiencia... :? triste, pero experiencia al fin y al cabo !



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos :)



saludos



ms, 29-7-2009